Una vulnerabilidad de seguridad de gravedad máxima en Dell RecoverPoint para máquinas virtuales ha sido explotada como día cero por un grupo de amenazas sospechoso de nexo con China denominado UNC6201 desde mediados de 2024, según un nuevo informe de Google Mandiant y Google Threat Intelligence Group (GTIG).
La actividad implica la explotación de CVE-2026-22769 (puntuación CVSS: 10.0), un caso de credenciales codificadas que afectan a versiones anteriores a 6.0.3.1 HF1. Otros productos, incluido RecoverPoint Classic, no son vulnerables a la falla.
«Esto se considera crítico ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría potencialmente explotar esta vulnerabilidad, conduciendo a un acceso no autorizado al sistema operativo subyacente y a la persistencia a nivel de raíz», dijo Dell en un boletín publicado el martes.
El problema afecta a los siguientes productos:
- RecoverPoint for Virtual Machines Versión 5.3 SP4 P1: migre de RecoverPoint for Virtual Machines 5.3 SP4 P1 a 6.0 SP3 y luego actualice a 6.0.3.1 HF1
- RecoverPoint para máquinas virtuales, versiones 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 y 6.0 SP3 P1: actualice a 6.0.3.1 HF1
- RecoverPoint for Virtual Machines Versiones 5.3 SP4, 5.3 SP3, 5.3 SP2 y anteriores: actualice a la versión 5.3 SP4 P1 o una versión 6.x y luego aplique la solución necesaria
«Dell recomienda que RecoverPoint para máquinas virtuales se implemente dentro de una red interna confiable, con acceso controlado y protegida por firewalls y segmentación de red adecuados», anotado. «RecoverPoint for Virtual Machines no está diseñado para su uso en redes públicas o que no sean de confianza».
«Somos conscientes de menos de una docena de organizaciones afectadas, pero debido a que se desconoce la escala total de esta campaña, recomendamos que las organizaciones que anteriormente fueron objetivo de BRICKSTORM busquen GRIMBOLT en sus entornos», dijo Rich Reece, gerente de Mandiant Consulting en Google Cloud, a The Hacker News por correo electrónico.
Mandiant dijo que descubrió CVE-2026-22769 a principios de este año mientras investigaba varios Dell RecoverPoint para máquinas virtuales dentro del entorno de una víctima no especificada.
«Es probable que el actor todavía esté activo en entornos sin parches y remediados, y debido a que la explotación ha estado ocurriendo desde mediados de 2024, ha tenido mucho tiempo para establecer persistencia y llevar a cabo espionaje a largo plazo», dijo Reece. «Anticipamos que otras empresas encontrarán compromisos activos o históricos a medida que comiencen a buscar utilizando las nuevas reglas IOC/YARA que publicamos».
Según Google, la credencial codificada se relaciona con un usuario «administrador» para la instancia de Apache Tomcat Manager que podría usarse para autenticarse en Dell RecoverPoint Tomcat Manager, cargar un shell web llamado SLAYSTYLE a través del punto final «/manager/text/deploy» y ejecutar comandos como root en el dispositivo para eliminar la puerta trasera BRICKSTORM y su versión más nueva denominada GRIMBOLT.
«Esta es una puerta trasera de C# compilada usando compilación nativa anticipada (AOT), lo que dificulta la ingeniería inversa», Charles Carmakal de Mandiant agregado.
Google le dijo a The Hacker News que la actividad se ha dirigido a organizaciones en toda América del Norte, y GRIMBOLT incorpora funciones para evadir mejor la detección y minimizar los rastros forenses en los hosts infectados. «GRIMBOLT es aún mejor a la hora de integrarse con los propios archivos nativos del sistema», añadió.
También se evalúa que UNC6201 comparte superposiciones con UNC5221, otro grupo de espionaje del nexo con China conocido por su explotación de tecnologías de virtualización y vulnerabilidades de día cero de Ivanti para distribuir shells web y familias de malware como BEEFLUSH, BRICKSTORM y ZIPLINE.
A pesar de las similitudes tácticas, se considera que los dos grupos son distintos en esta etapa. Vale la pena señalar que CrowdStrike también ha vinculado el uso de BRICKSTORM con un tercer adversario alineado con China rastreado como Warp Panda en ataques dirigidos a entidades estadounidenses.
Un aspecto digno de mención del último conjunto de ataques gira en torno a la dependencia de UNC6201 de interfaces de red virtuales temporales, denominadas «NIC fantasma», para pasar de las máquinas virtuales comprometidas a entornos internos o SaaS y luego eliminar esas NIC para cubrir las pistas en un esfuerzo por impedir los esfuerzos de investigación.
«De acuerdo con la campaña anterior de BRICKSTORM, UNC6201 continúa apuntando a dispositivos que normalmente carecen de agentes tradicionales de detección y respuesta de puntos finales (EDR) para permanecer sin ser detectados durante largos períodos», dijo Google.
Aún no está claro exactamente cómo se obtiene el acceso inicial, pero al igual que UNC5221, también se sabe que apunta a dispositivos de borde para ingresar a las redes de destino. También se ha descubierto un análisis de los dispositivos VMware vCenter comprometidos. comandos iptables ejecutado mediante el shell web para realizar el siguiente conjunto de acciones:
- Monitorear el tráfico entrante en el puerto 443 para una cadena HEX específica
- Agregue la dirección IP de origen de ese tráfico a una lista y si la dirección IP está en la lista y se conecta al puerto 10443, la conexión se ACEPTA
- Redirigir silenciosamente el tráfico posterior al puerto 443 al puerto 10443 durante los próximos 300 segundos (cinco minutos) si la IP está en la lista aprobada
Además, se descubrió que el actor de amenazas reemplazó los archivos binarios antiguos de BRICKSTORM con GRIMBOLT en septiembre de 2025. Si bien GRIMBOLT también proporciona una capacidad de shell remoto y utiliza el mismo comando y control (C2) que BRICKSTORM, no se sabe qué impulsó el cambio al malware más difícil de detectar, y si fue una transición planificada o una respuesta a divulgaciones públicas sobre BRICKSTORM.
«Los actores de amenazas de los estados-nación continúan apuntando a sistemas que comúnmente no admiten soluciones EDR, lo que hace que sea muy difícil para las organizaciones víctimas saber que están comprometidas y prolonga significativamente los tiempos de permanencia de la intrusión», dijo Carmakal.
La revelación llega cuando Dragos prevenido de ataques organizados por grupos chinos como Volt Typhoon (también conocido como Voltita) para comprometer las puertas de enlace de Sierra Wireless Airlink ubicadas en los sectores eléctrico y de petróleo y gas, seguido de un giro a estaciones de trabajo de ingeniería para volcar datos de configuración y alarmas.
La actividad, según la empresa de ciberseguridad, tuvo lugar en julio de 2025. Se dice que el equipo de piratería obtiene acceso inicial de Sylvanite, que rápidamente convierte en arma las vulnerabilidades de los dispositivos de borde antes de que se apliquen parches y cede el acceso para intrusiones de tecnología operativa (OT) más profundas.
«Voltzite fue más allá de la filtración de datos y pasó a la manipulación directa de las estaciones de trabajo de ingeniería investigando qué provocaría la detención de los procesos», Dragos dicho. «Esto representa la eliminación de la última barrera práctica entre tener acceso y causar consecuencias físicas. Las puertas de enlace celulares crean vías no autorizadas hacia las redes OT sin pasar por los controles de seguridad tradicionales».
Actualizar
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 18 de febrero de 2026, agregado CVE-2026-22769 a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen el parche antes del 21 de febrero de 2026.
